В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons. Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.
По данным исследования компании SourceClear, многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены аналогичной обнаруженной в ноябре проблеме.
Ранее, основываясь на исследовании, представленном сотрудниками компании Qualcomm, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS), сообщает xakep.ru.
Проблема заключается в том, как Java исполняет user-defined код во время десериализации объектов. Опираясь на это, исследователи FoxGlove Security сумели создать пейлоуды, с помощью которых получили shell-доступ к машинам, на которых работали уязвимые продукты.
«Это очень неприятная уязвимость, потому что это не брешь в самой Java, но баг, которому подвержены широко распространенные библиотеки, — пишет Иоганесс Ульрих (Johannes Ullrich), технический директор SANS Institute Internet Storm Center. — Провести инвентаризацию этих библиотек, которые используются в различных продуктах, крайне трудно».
Специалистам SourceClear удалось выявить баг в нижеперечисленных библиотеках. Компания советует всем разработчикам внимательно проверить свой код и библиотеки на предмет проблемы с десериализацией.
| Имя | Версия |
| Apache Directory API All | 1.0.0-M31 |
| Apache Directory API All | 1.0.0-M32 |
| Apache Jena — Fuseki Server Standalone Jar | 2.0.0 |
| Apache Jena — Fuseki Server Standalone Jar | 2.3.0 |
| flink-core | 0.9.0-hadoop1 |
| flink-core | 0.9.0 |
| flink-shaded-include-yarn | 0.9.0 |
| flink-shaded-include-yarn | 0.9.0-milestone-1 |
| jcaptcha-all | 1.0-RC6 |
| jcaptcha-all | 1.0-RC5 |
| Mule Core | 2.1.0 |
| Mule Core | 2.1.2 |
| JMS Transport | 3.0.0-M2-20091124 |
| JMS Transport | 3.3-M1 |
| Spring XD DIRT | 1.0.3.RELEASE |
| Spring XD DIRT | 1.0.4.RELEASE |
| Webx All-in-one Bundle | 3.2.3 |
| Webx All-in-one Bundle | 3.0.14 |
| hadoop-mapreduce-client-core | 2.6.2 |
| hadoop-mapreduce-client-core | 2.6.0 |
| Commons BeanUtils Core | 1.8.3 |
| Commons BeanUtils Core | 1.8.2 |
| Apache Hadoop Common | 2.6.2 |
| Apache Hadoop Common | 2.5.2 |
| Commons Collections | 20031027 |
| Commons Collections | 3.2.1 |
| OpenJPA Utilities Library | 2.3.0 |
| OpenJPA Utilities Library | 2.2.2 |
| OpenJPA Kernel | 2.3.0 |
| OpenJPA Kernel | 2.2.2 |
| OpenJPA Persistence | 1.2.3 |
| JasperReports | 6.2.0 |
| JasperReports | 6.0.2 |
| Isis MetaModel | 1.0.0 |
| Isis MetaModel | 1.1.0 |
| AutoValue | 1 |
| AutoValue | 1.0-rc4 |
| Core | 1.6.2 |
| Core | 1.6.1 |
| velocity:velocity-dep | 1.5-beta2 |
| Apache Commons Collections | 4 |
| HBase — Common | 0.98.9-hadoop1 |
| HBase — Common | 0.98.7-hadoop1 |
| Apache Directory Shared LDAP | 0.9.11 |
| org.springframework:spring | 2.5.6.SEC03 |
| org.springframework:spring | 2.5.6.SEC02 |
| Apache MyFaces JSF-2.2 Core Impl | 1.2.5 |
| Apache MyFaces JSF-2.2 Core Impl | 2.2.7 |
| jung-visualization | 2.0.1 |
| jung-visualization | 2 |
| HBase — Server | 0.98.10.1-hadoop2 |
| HBase — Server | 0.98.7-hadoop2 |
| org.apache.pig pig | 0.15.0 |
| com.google.gwt gwt-dev | 2.7.0 |
| larvalabs collections | 4.01 |
| org.opensymphony.quartz quartz | 1.6.1 |
| Apache Commons BeanUtils | 1.9.2 |
| Apache Commons BeanUtils | 1.9.1 |
| Apache Crunch Core | 0.13.0 |
| JasperReports | 3.5.2 |
| JasperReports | 3.5.1 |
| ApacheDS MVCC BTree implementation | 1.0.0-M7 |
| ApacheDS All | 2.0.0-M18 |
| ApacheDS All | 2.0.0-M17 |
| ESAPI | 2.1.0 |
| ESAPI | 2.0.1 |
| OpenJPA Aggregate Jar | 2.3.0 |
| OpenJPA Aggregate Jar | 2.2.2 |
| quartz | 1.6.3 |
| quartz | 1.6.0 |
